伊朗網路驚見美國旗 全球20萬路由器遭駭
駭客大舉入侵多國網站,伊朗的數據中心也遭殃。伊朗資訊科技部今天表示,駭客在畫面上留下美國國旗圖片和一段警告:「別來擾亂我們的選舉。」
路透社報導,伊朗的通訊及資訊科技部在官媒伊朗通訊社(IRNA)發布聲明說:「這起遍布各地的網路攻擊明顯影響全球20萬台路由交換器,其中我國的有3500台。」
網路設備跨國供應商思科系統公司(CiscoSystems Inc.)稍早發布警告,說路由器中有弱點,並附上修復程式,但時逢伊朗新年假期,部分公司並未成功安裝修復程式。
伊朗當局在聲明中表示,這起駭客事件利用思科路由器的弱點,攻擊各網路供應商,並中斷訂戶的網路存取。
思科並未立即回覆置評的要求。
資訊科技部部長艾札利-賈赫羅米(MohammadJavad Azari-Jahromi)推文發布電腦畫面,畫面中有駭客留下的美國國旗圖和訊息,他並說目前不清楚是誰犯案。
伊朗官方電視台報導,艾札利-賈赫羅米表示,這起攻擊主要影響歐洲、印度和美國。
電視台引述艾札利-賈赫羅米的話說:「美國有5萬5000台裝置遭殃,中國則有1萬4000台,在所有蒙損裝置中,伊朗的數量占2%。」
駭客濫用Cisco Smart Install協定,伊朗3500台交換器遭駭
駭客於上周針對思科的Smart Install功能發動攻擊,目前主要傳出災情的是伊朗的ISP業者與資料中心,駭客在執行Smart Install的交換器配置檔中寫下「別來攪和我們的選舉」(Do not mess with our elections),並留下美國國旗的圖樣,接著交換器便無法運作。
Smart Install為IOS平台上的隨插即用的配置既映像管理功能,可零接觸(zero-touch)部署新的思科設備,特別是交換器,客戶只要把交換器放置在特定的網路中,打開電源,無需進行配置就能運作。
思科在今年2月即曾警告,Smart Install可能會被濫用以變更TFTP伺服器設定並取得配置檔案,接著修改配置檔案,置換IOS映像,並建立帳號以執行IOS命令。迄今思科仍認為上述並非安全漏洞,而只是遭到濫用。
而上周,伊朗的通訊暨資訊部門即宣稱該國境內的3,500台交換器遭到駭客攻擊,思科亦證實此事,表示已接獲不同國家的多項攻擊報告。而根據Shodan的搜尋結果,全球因Smart Install而陷於被駭風暴中的思科裝置約為16.5萬台,其中有4.6萬台位於美國、1.2萬台位於俄羅斯,還有1萬台位於中國。
IT管理人員可輸入「show vstack config」指令來判斷交換器上的Smart Install功能是否被啟用,若答案是肯定的,只要執行「no vstack」指令就能關閉它,若缺乏此一選項,則可嚴格限制Smart Install介面的存取以避免遭到駭客開採。
思科暗示相關的攻擊行動可能來自俄羅斯,美國電腦緊急事件應變小組(United States Computer Emergency Readiness Team,US-CERT)才在3月中指責俄羅斯政府針對美國的重大基礎建設展開網路攻擊。
另一方面,駭客卻向Motherboard透露,他們已厭倦了由政府支撐的駭客於美國及其它國家所展開的攻擊行動,他們的確在全球找到許多可攻擊的系統,但此次攻擊只鎖定俄國與伊朗。目前並無法確定這是否為駭客所拋出的煙霧彈。
思科表示,迄今只觀察到駭客濫用了Smart Install功能,而未牽涉到日前所修補的CVE-2018-0171漏洞,CVE-2018-0171漏洞同樣位於Smart Install中,可能帶來遠端程式攻擊,且概念性攻擊程式亦已被發表,思科呼籲用戶在緩解Smart Install被誤用之際也應儘速修補CVE-2018-0171。
